實驗1:
目的:拒絕1.0網段訪問
PC1:192.168.1.1/24 網關:192.168.1.254
PC2:192.168.2.1/24 網關:192.168.2.254
步驟:
AR6
Huawei]sysname AR6
[AR6]inter gi0/0/0
[AR6-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[AR6-GigabitEthernet0/0/0]q
[AR6]inter gi0/0/1
[AR6-GigabitEthernet0/0/1]ip add 192.168.12.1 24
[AR6-GigabitEthernet0/0/1]q
[AR6]rip
[AR6-rip-1]version 2
[AR6-rip-1]network 192.168.1.0
[AR6-rip-1]network 192.168.12.0
AR7
<Huawei>sys
[Huawei]sysname AR7
[AR7]inter gi0/0/0
[AR7-GigabitEthernet0/0/0]ip add 192.168.12.2 24
[AR7-GigabitEthernet0/0/0]q
[AR7-GigabitEthernet0/0/1]ip add 192.168.23.1 24
[AR7-GigabitEthernet0/0/1]q
[AR7]rip
[AR7-rip-1]version 2
[AR7-rip-1]network 192.168.12.0
[AR7-rip-1]network 192.168.23.0
[AR7]display ip routing-table
AR11
<Huawei>sys
Huawei]sysname AR11
[AR11]inter gi0/0/0
[AR11-GigabitEthernet0/0/0]ip add 192.168.23.2 24
[AR11-GigabitEthernet0/0/0]q
[AR11]inter gi0/0/1
[AR11-GigabitEthernet0/0/1]ip add 192.168.34.1 24
[AR11-GigabitEthernet0/0/1]q
[AR11]rip
[AR11-rip-1]version 2
[AR11-rip-1]network 192.168.23.0
[AR11-rip-1]network 192.168.34.0
AR10
<Huawei>sys
[Huawei]sysname AR10
[AR10]inter gi0/0/0
[AR10-GigabitEthernet0/0/0]ip add 192.168.34.2 24
[AR10-GigabitEthernet0/0/0]q
[AR10]inter gi0/0/1
[AR10-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[AR10-GigabitEthernet0/0/1]q
[AR10]rip
[AR10-rip-1]version 2
[AR10-rip-1]network 192.168.34.0
[AR10-rip-1]network 192.168.2.0
驗證是否可以通
AR6
[AR6]acl 2000 設置基本acl
[AR6-acl-basic-2000]rule 10 deny source 192.168.1.0 0.0.0.255 規則10 拒絕源ip1.0網段所有 通配符
[AR6-acl-basic-2000]q
[AR6]interface gi0/0/0
[AR6-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 端口調用命令2000
驗證:
實驗二:
連接交換機(交換機可以連接多臺電腦,路由器只能連接一臺電腦) 加三臺主機
要求:只允許PC1與PC2拼通
環境:
PC3:192.168.1.3/24 網關192.168.1.254
PC4:192.168.1.4/24
PC5:192.168.1.5/24
思路:1.僅僅允許PC1,拒絕所有
2.明確拒絕其他三臺,允許所有
在實驗一的基礎上開始實驗二,那應先撤銷對AR6入端口的acl設置
[AR6]inter gi 0/0/0
[AR6-GigabitEthernet0/0/0]undo traffic-filter inbound 端口的調用命令要刪掉,以免日後啓用這個端口報錯
[AR6]undo acl 2000 刪掉acl
[AR6]acl 2000 配置基本acl
[AR6-acl-basic-2000]rule 10 permit source 192.168.1.1 0.0.0.0 規則爲10 只允許1.1
[AR6-acl-basic-2000]rule 20 deny source 192.168.1.0 0.0.0.255 規則爲20 拒絕1.0所有
[AR6-acl-basic-2000]q
[AR6]interface gi0/0/0
[AR6-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 端口調用acl2000
[AR6-GigabitEthernet0/0/0]q
[AR6]display acl all 查看已配置的acl
Total quantity of nonempty ACL number is 1
Basic ACL 2000, 2 rules
Acl's step is 5
rule 10 permit source 192.168.1.1 0
rule 20 deny source 192.168.1.0 0.0.0.255
驗證PC1與PC2可拼通
PC1與PC2不可拼通
實驗三
要求:基於實驗1的基礎 PC1不可拼通AR11 但可遠程
[AR11]acl 3000 配置高級acl
[AR11-acl-adv-3000]rule 5 deny icmp source 192.168.1.1 0.0.0.0 規則5(隨便配置編號)拒絕1.1網絡的PIN命令
[AR11]interface gi0/0/0
[AR11-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 調用acl3000
[AR11-GigabitEthernet0/0/0]q
[AR11]user-interface vty 0 4 因爲要驗證遠程因此給被遠程的機器配置密碼以供驗證
[AR11-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):123
LSW1:
[Huawei]interface vlanif 1 給交換機2配置ip地址(模擬器中的pc機沒有遠程的功能,因此我們用交換機來代替)
[Huawei-Vlanif1]ip add 192.168.1.5 24
[Huawei-Vlanif1]q
[Huawei]ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 給交換機(有路由功能,安排一條出去的路徑)
驗證:
實驗四:
要求:允許1.0網段遠程AR11,其他網段都不可以
第一步:基於實驗3,刪掉AR11的acl3000,進入端口刪掉traffic
[AR11]acl 2001 設置基本acl
[AR11-acl-basic-2001]rule 5 permit source 192.168.1.0 0.0.0.255 允許1.0網段訪問
[AR11-acl-basic-2001]q
[AR11]user-interface vty 0 4
[AR11-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):1234
[AR11-ui-vty0-4]acl 2001 inbound 在虛擬接口上用這條調用命令後,其他默認是拒絕
驗證:分別LW1遠程11 AR7遠程11
實驗五:
要求:1.1,1.3,1.5,1.7拒絕訪問pc2 其他可以
基於實驗四,[AR11]undo acl 2001
思路:1.找公共部分,相同位直接寫,不同位變成0
1 0000 0001
3 0000 0011
5 0000 0101
7 0000 0111
可變量只有最後一部分的兩個字節
公共部分192.168.1.00000001=192.168.1.1
2.確認通配符:通配符與公共ip地址是一一對應的;在通配符中,與公共ip地址中不變的位對應的位置寫0,
反之寫1
0.0.0.00000110==>0.0.0.6
配置:
[AR6]acl 3001
[AR6-acl-adv-3001]rule 10 deny icmp source 192.168.1.1 0.0.0.6 destination 192.168.2.1 0.0.0.0 拒絕從公共部分爲192.168.1.1(推演過程如上)的客戶端拼到192.168.2.1的服務器
驗證:
